Layer 3 Firmware wirft ohne Routen default gegen WAN

[Fabian Bläse]

root at stmarkus:~# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i eth0.2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0.2 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -o eth0.2 -j REJECT --reject-with icmp-net-unreachable		<--
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

root at stmarkus:~# ip6tables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name dropbear --mask ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --rsource
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 6 --rttl --name dropbear --mask ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff --rsource -j DROP
-A FORWARD -o eth0.2 -j REJECT --reject-with icmp6-no-route		<--

root at stmarkus:~# cat /usr/lib/firewall.d/10-no-forward-wan 
# Ensure nothing is forwarded onto WAN interface
if [ -n "$IF_WAN" ]; then
	iptables -A FORWARD -o $IF_WAN -j REJECT --reject-with icmp-net-unreachable
	ip6tables -A FORWARD -o $IF_WAN -j REJECT --reject-with no-route
fi

Gruß
Fabian

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20200523/8de5d805/attachment.sig>